Защита SSH-сервера — порты, ключи, port knocking, iptables

0:00 О port knocking 1:19 Что такое сетевые порты в TCP и UDP? 3:17 Замена стандартного порта SSH-сервера 4:24 Запрет SSH-входа по паролю 4:56 Что делать, если потеряешь SSH-ключи? 6:23 Запрет входа root 6:33 Port knocking и безопасность 8:52 Покупка сервера в Selectel 9:40 Создание SSH-ключа с паролем 11:16 Создание Linux-пользователя 12:43 Разрешаем SSH-вход пользователю 13:47 Базовая настройка SSH-сервера 15:51 Настройка port knocking с knockd, iptables и nmap 25:50 Ещё несколько возможностей iptables 26:30 Как сделать сервер непингуемым? 28:01 Выводы Команды из видео === Генерация SSH-ключей: ssh-keygen -t ed25519 Копирование публичного ключа: cat ~/.ssh/id_ed25519.pub | pbcopy Редактирование настроек SSH-сервера: sudo vim /etc/ssh/sshd_config Настройки: AllowUsers www PermitRootLogin no PasswordAuthentication no Port 45916 Рестарты SSH-сервера: sudo service ssh restart Установка knockd: sudo apt install -y knockd Редактирование его настроек: sudo vim /etc/knockd.conf Настройки: [options] UseSyslog Interface = enp3s0 [SSH] sequence = 7000,8000,9000 seq_timeout = 5 tcpflags = syn start_command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 45916 -j ACCEPT stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 45916 -j ACCEPT cmd_timeout = 60 Здесь enp3s0 это сетевой интерфейс, проверяется командой: ip a Автозапуск: sudo vim /etc/default/knockd START_KNOCKD=1 KNOCKD_OPTS="-i enp3s0" Сетевой интерфейс аналогично подставляется...